《孫子兵法》上說,知己知彼,百戰(zhàn)不殆。在作戰(zhàn)過程中,如果能全面、準確掌握敵我雙方的的信息,就能夠打勝仗。在現(xiàn)如今在網(wǎng)絡(luò)空間中,攻守雙方的態(tài)勢更加錯綜復(fù)雜,攻擊者往往占據(jù)更加主動的位置,而利用威脅情報技術(shù),提前洞悉攻擊者的動向,成為了改變攻守雙方態(tài)勢的重要路徑。
因此有專家將威脅情報比作是新時代網(wǎng)絡(luò)安全的血液。奇安信集團總裁吳云坤在2019威脅情報生態(tài)大會曾表示,威脅情報是構(gòu)筑積極防御能力體系關(guān)鍵,同時也將在縱深防御乃至基礎(chǔ)結(jié)構(gòu)安全發(fā)揮重要作用。
在2019北京網(wǎng)絡(luò)安全大會組委會近日公布的8場網(wǎng)絡(luò)安全技術(shù)沙龍日程中,筆者盤點了威脅情報與威脅分析相關(guān)的六個議題,先睹為快!
8月21日(大會第一日)
議題一:以《網(wǎng)空威脅框架》構(gòu)建全流量監(jiān)測
■14:10國家會議中心C館308演講者:安賽CEO林榆堅
NSA/CSS在Kill Chain殺傷鏈和ATT&CK威脅建模等模型基礎(chǔ)上,于2018年發(fā)布了《網(wǎng)空威脅框架》。該框架的優(yōu)勢在于能從管理者宏觀角度出發(fā),明確定義攻擊者全生命周期內(nèi)的各種攻擊行為,在具體企業(yè)防護應(yīng)用中具有極大的可操作性。目前,這一模型在國內(nèi)的應(yīng)用剛剛起步。
本議題將從該模型與技術(shù)創(chuàng)新的實踐成果出發(fā),對模型在全流量監(jiān)控中的實際應(yīng)用和技術(shù)革新的指導(dǎo)意義進行論述,針對如何在超大流量背景中高效化存儲與分析、如何以雙向數(shù)據(jù)分析手段提高防護效率、如何提高實時檢測甚至預(yù)判攻擊行為并進行阻斷的可能性等問題,給出對應(yīng)的策略思考與解決手段。
8月22日(大會第二日)
議題二:如何使用NTA檢測發(fā)現(xiàn)高級威脅
■ 14:10國家會議中心C館308演講者:山石網(wǎng)科營銷資深總監(jiān)賈彬
高級威脅具有長期潛伏、瞬間爆發(fā)的基本特點,一次完整的高級威脅需要經(jīng)過滲透、C&C、擴散、提權(quán)、實施等重要階段;谔卣鲙斓膫鹘y(tǒng)安全技術(shù)難以有效檢測不同階段的不同威脅行為。但是高級威脅每個階段的網(wǎng)絡(luò)流量都會出現(xiàn)不同程度的變化,所以對于流量狀態(tài)變化的監(jiān)控是非常有效的檢測手段之一。
作為2017年Gartner十大信息安全技術(shù)之一,本議題將詳細介紹如何利用NTA技術(shù),針對于關(guān)鍵網(wǎng)絡(luò)區(qū)域的東西向和南北向的流量進行分析,檢測企業(yè)網(wǎng)絡(luò)中的可疑行為,尤其是失陷后的痕跡。
8月23日(大會第三日)
議題三:基于kubernetes的流式威脅檢測平臺
■ 13:35國家會議中心C館311A演講者:華泰安全信息安全架構(gòu)師邢驍
隨著底層計算平臺的不斷發(fā)展,機器學(xué)習(xí)、UEBA等技術(shù)的興起,下一代SIEM也備受關(guān)注。但是,如何在SIEM平臺中實現(xiàn)實時的事件關(guān)聯(lián)分析、威脅精準定位、安全噪音消除,仍然是眾多安全工作者的痛點。
本議題將介紹如何基于kubernetes搭建大數(shù)據(jù)安全檢測平臺,使平臺模塊化和微服務(wù)化,易于部署和擴展,幫助安全工作者快速落地實現(xiàn)各類需求。此外,本議題還將介紹如何利用Flink流式引擎在海量數(shù)據(jù)中發(fā)現(xiàn)實時威脅,并對威脅進行場景化處理和性質(zhì)分析。最后,結(jié)合隱蔽隧道、主機命令檢測等具體案例,介紹如何將規(guī)則、基線和機器學(xué)習(xí)等方法在實戰(zhàn)環(huán)境中融合,以實現(xiàn)入侵的精準命中。
議題四:基于ATT&CK的APT跟蹤和狩獵
■ 14:10國家會議中心C館311A演講者:奇安信集團潘博文
APT的跟蹤和狩獵從來都不是一件容易的事情。為了便于描述網(wǎng)絡(luò)攻擊和惡意代碼, STIX2.0標準中引入了攻擊和惡意代碼2個相對獨立的表述,攻擊采用capec,惡意代碼采用meac。但是capec和meac過于晦澀,因此2015年發(fā)布了ATT&CK模型及建模字典,合并了capec和meac,便于表達和分享,實現(xiàn)安全自動化。
本議題結(jié)合我們對APT威脅的研究基礎(chǔ),探討ATT&CK在APT威脅場景下的落地方式,主要內(nèi)容包括:從APT威脅角度對ATT&CK框架的設(shè)計進行剖析;探討如何將ATT&CK攻擊技術(shù)框架應(yīng)用到APT威脅分析中,并結(jié)合案例和系統(tǒng)日志層面,探討其落地的方式和思路;探討從ATT&CK角度分析APT組織的攻擊戰(zhàn)術(shù)技術(shù)手法和特點。
議題五:實戰(zhàn)化下的全流量威脅發(fā)現(xiàn)實踐
■ 14:10國家會議中心C館307演講者:奇安信集團唐伽佳
網(wǎng)絡(luò)攻防演習(xí)是網(wǎng)絡(luò)安全中最能檢驗安全團隊防御能力的方式之一。在攻防演習(xí)中,作為防守方,面對“隱蔽”的網(wǎng)絡(luò)攻擊,如何才能有效防御呢?只有沿實戰(zhàn)化的攻擊路徑做縱深檢測才能全面應(yīng)對“組織化”攻擊挑戰(zhàn)。攻擊方在組織入侵攻擊時,常見的攻擊步驟為信息收集、漏洞分析、滲透攻擊和后滲透攻擊等。
本議題結(jié)合攻擊者的入侵路徑與攻擊方法,總結(jié)出了互聯(lián)網(wǎng)突破-威脅檢測,內(nèi)網(wǎng)拓展-威脅檢測,關(guān)鍵產(chǎn)品、系統(tǒng)攻擊-威脅檢測方案,數(shù)據(jù)驅(qū)動的威脅分析能力體系等內(nèi)容以及相關(guān)實例。
議題六:情報驅(qū)動的網(wǎng)絡(luò)安全新生態(tài)環(huán)境
■ 13:00國家會議中心C館308演講者:天際友盟技術(shù)總監(jiān)謝廣坤
奇安信集團總裁吳云坤認為,威脅情報生態(tài)就是需要幫助生產(chǎn)者生產(chǎn)更優(yōu)質(zhì)的情報,幫助消費者更好地利用情報。
威脅情報在網(wǎng)絡(luò)安全解決方案中“知己知彼”的“知彼”一側(cè)發(fā)揮著重要作用,但是單獨依靠一家或者少數(shù)幾家威脅情報供應(yīng)商,是絕對不夠的,威脅情報的共享使得網(wǎng)絡(luò)安全防護能夠有效利用外部情報進行針對性精準防護。因此,威脅情報的共享和生態(tài)建設(shè)是威脅情報利用的關(guān)鍵環(huán)節(jié)。本議題介紹了國際、國內(nèi)威脅情報標準的建設(shè)情況,從威脅情報共享與應(yīng)用的角度解讀網(wǎng)絡(luò)安全生態(tài)環(huán)境的發(fā)展。
文章內(nèi)容僅供閱讀,不構(gòu)成投資建議,請謹慎對待。投資者據(jù)此操作,風險自擔。
近日,德國柏林國際電子消費品展覽會(IFA2024)隆重舉辦。憑借在核心技術(shù)、產(chǎn)品設(shè)計及應(yīng)用方面的創(chuàng)新變革,全球領(lǐng)先的智能終端企業(yè)TCL實業(yè)成功斬獲兩項“IFA全球產(chǎn)品設(shè)計創(chuàng)新大獎”金獎,有力證明了其在全球市場的強大影響力。
近日,中國家電及消費電子博覽會(AWE 2024)隆重開幕。全球領(lǐng)先的智能終端企業(yè)TCL實業(yè)攜多款創(chuàng)新技術(shù)和新品亮相,以敢為精神勇闖技術(shù)無人區(qū),斬獲四項AWE 2024艾普蘭大獎。
“以前都要去窗口辦,一套流程下來都要半個月了,現(xiàn)在方便多了!”打開“重慶公積金”微信小程序,按照提示流程提交相關(guān)材料,僅幾秒鐘,重慶市民曾某的賬戶就打進了21600元。
由世界人工智能大會組委會、上海市經(jīng)信委、徐匯區(qū)政府、臨港新片區(qū)管委會共同指導(dǎo),由上海市人工智能行業(yè)協(xié)會聯(lián)合上海人工智能實驗室、上海臨港經(jīng)濟發(fā)展(集團)有限公司、開放原子開源基金會主辦的“2024全球開發(fā)者先鋒大會”,將于2024年3月23日至24日舉辦。